Passwortschutz (sicherheit)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Passwortschutz (sicherheit)

    Hallo zusammen

    Ich möchte einen Passwortschutz, sprich einen Login mit Adminseiten bauen. Die Passworte und Benutzernamen sowei ID sind in einer MySQL DB abgelegt und werden dann im Cookie gespeichert.

    Nun, frage ich mich welche Methode wohl die sicherste ist, ich habe mich hier schon durchgelesen und musste folgende Erkenntnis machen:

    - Verschlüsselung muss sein, aber wie (.htaccess, MD5....) was ist sicher?
    - Oder php Auth.?

    Kann mir hier jemand einen Tipp geben, wie ich ein möglichst sichere Umgebung schafen kann.

    Danke

  • #2
    1. Sessions ( Weil Serverseitig )
    2. Keine Cookies ( Weil Clientseitig )
    3. MD5 ( Weil nicht entschlüsselbar )

    Sprich: http://www.php-resource.de/tutorials/read/38/1/

    Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
    sondern mit den Augen das Manual zu lesen.

    Kommentar


    • #3
      Wiso keine Cookies, wenn es lediglich als zusätzliche Option gebraucht wird (Login behalten)

      Aber ich habe gelesen das MD5 leicht zu knacken sei, es gäbe unzählige Tool dafür..in nur 15min...und so...??

      Ist denn .htaccess nicht genau so verschlüsselbar?
      Zuletzt geändert von rönee; 28.11.2004, 01:34.

      Kommentar


      • #4
        Original geschrieben von rönee
        Wiso keine Cookies, wenn es lediglich als zusätzliche Option gebraucht wird (Login behalten)
        Die Frage hast Du Dir ja bereits selbst beantwortet! Für ein Admin-Bereich nicht sonderlich intelligent bzw. ratsam!

        Aber ich habe gelesen das MD5 leicht zu knacken sei, es gäbe unzählige Tool dafür..in nur 15min...und so...??
        http://www.php-einfach.de/wissen_md5.php

        MD5() ist ein Hash-Wert und keine Verschlüsselung.. Kann man nicht entschlüsseln.. Zumindest wird es wohl noch einige Jahre dauern, bis man es zurück rechnen kann! Das einzigste was man machen könnte wäre Brut-Force.. Aber das ist kein Knacken, sondern mehr ein "Ratespiel".. Je länger das Passwort.. Ach komm.. lies es Dir einfach selber durch oder google ein bisschen! ;D

        Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
        sondern mit den Augen das Manual zu lesen.

        Kommentar


        • #5
          Original geschrieben von xManUx
          3. MD5 ( Weil nicht entschlüsselbar )
          Falsch es ist knackbar

          Besser sha1
          [color=blue]MfG Payne_of_Death[/color]

          [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
          [color=red]Merke:[/color]
          [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

          Murphy`s Importanst LAWS
          Jede Lösung bringt nur neue Probleme
          Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
          In jedem kleinen Problem steckt ein großes, das gern raus moechte.

          Kommentar


          • #6
            Was jetzt? Denn genau diese Wiedersprüche habe ich auch gelesen, deshalb diese Frage!

            Aber aus dme Artikel MD5 geht folgendes hervor, und gepaart mit meinem angelesenen Wissen meine ich eine sicher Art gefunden zu haben:

            MySQL - MD5 - mehrmals verschlüsseln - Passwort farse - Gros-Kleinschreibweise

            ODER?

            Kommentar


            • #7
              Nimm einfach die sha1-Funktion, wer weiß wie alt der Artikel ist.....wenn jemand deine Seite knacken will, schafft er es eh....

              Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

              bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
              Wie man Fragen richtig stellt

              Kommentar


              • #8
                Wenn mann es eh kancken kann, wiso denn überhaupt diese Diskussion? Dann kommt es eh nicht daraufan ob .htaccess, MD5 oder sha1!

                Kommentar


                • #9
                  Original geschrieben von Payne_of_Death
                  Falsch es ist knackbar

                  Besser sha1
                  naaja.. ich meinte eher nicht entschlüsselbar, in form von hash-wert zurückrechnen? mit brutforce wird das passwort doch auch nur erraten, bis es richtig ist.. oder nicht? knacken => ja, entschlüsseln => nein?

                  .. stimmt es eigentlich, dass es unter umständen sogar bis zu jahre dauern kann? ca. 23 +/- ein paar jahre, wenn man von der maximalzeit ausgeht?

                  Bis auf, dass sha1 8 zeichen länger ist, is zu md5 auch kein unterschied? *=> was die maximal ja dann nochmal verlängert
                  Zuletzt geändert von xManUx; 28.11.2004, 14:36.

                  Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
                  sondern mit den Augen das Manual zu lesen.

                  Kommentar


                  • #10
                    Was anderes wie Brute-Force wird wohl kaum möglich sein....

                    SHA-1 als auch md5 sind one-way Verschlüsselungen.

                    Wobei md5(); mit entsprechenden Wörterbücherinhalten besser durch probieren erraten werden.

                    SHA-1 ist nun mal länger und damit würde eine Zurückrechnung seeeehr lange dauern......
                    Was wiederrum Bruteforce Angreife nicht vermeidet die auf Wörterbücher basieren.

                    Berrücksichtigt man dabei noch das man Passwörter mit Sonderzeichen, Nummer und Klein/Großbuchstaben festlegen soll wird das Risiko Opfer eines BruteForcing Angriffes durch Wörter vermieden, damit bleiben nur alle Zeichen auszuprobieren.

                    Durch diese ewige Zeitdauer wird ein entschlüsseln praktisch zum heutigen Stand ausgeschlossen......

                    Zusätzlich wenn man es noch sicherer machen will bannt man einfach IPs die 5 mal falsche Accountdaten eingegeben haben für 2 Tage.......

                    Der Hacker hat dann keinen Bock mehr
                    [color=blue]MfG Payne_of_Death[/color]

                    [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
                    [color=red]Merke:[/color]
                    [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

                    Murphy`s Importanst LAWS
                    Jede Lösung bringt nur neue Probleme
                    Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
                    In jedem kleinen Problem steckt ein großes, das gern raus moechte.

                    Kommentar


                    • #11
                      Zusätzlich wenn man es noch sicherer machen will bannt man einfach IPs die 5 mal falsche Accountdaten eingegeben haben für 2 Tage.......
                      als aol-user ? naja.. er hat dann binnen weniger stunden maybe alle IP's durch


                      also mal kurz gesagt, vielleicht sollte man eine verschlüsselung-funktion programmieren, dass häufig sonderzeichen umwandelt? DANACH anschließend dieses verschlüsselte PW mit MD5 oder noch besser sha1 "verhash'n" ;D

                      somit dürfte die frage zwecks "verschlüsselung" geklärt sein
                      Zuletzt geändert von xManUx; 28.11.2004, 15:51.

                      Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
                      sondern mit den Augen das Manual zu lesen.

                      Kommentar


                      • #12
                        nur Anmerkung am Rande
                        [color=blue]MfG Payne_of_Death[/color]

                        [color=red]Manual(s):[/color] <-| PHP | MySQL | SELFHTML |->
                        [color=red]Merke:[/color]
                        [color=blue]Du brauchst das Rad nicht neu erfinden ! [/color]<-ForumSuche rettet Leben-> || <-Schau in den Codeschnippsels->

                        Murphy`s Importanst LAWS
                        Jede Lösung bringt nur neue Probleme
                        Das Fluchen ist die einzige Sprache, die jeder Programmierer beherrscht.
                        In jedem kleinen Problem steckt ein großes, das gern raus moechte.

                        Kommentar


                        • #13
                          Original geschrieben von Payne_of_Death
                          nur Anmerkung am Rande
                          Schade, dass man Computer nicht mit Sessions like a virus infizieren kann! :P

                          Was mir noch einfällt.. bei Möchte-gern-hacker-DAU's könnten auch Cookies helfen, zum bannen, sofern sie keine Ahnung haben
                          Zuletzt geändert von xManUx; 28.11.2004, 21:36.

                          Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
                          sondern mit den Augen das Manual zu lesen.

                          Kommentar


                          • #14
                            nicht ohne meine 5 cent.

                            md5 ist, wie bereits erwähnt, keine verschlüsselung und ist somit schon von der definition her nicht entschlüsselbar. ist natürlich mit immensem rechenzeitaufwand zu knacken, was auch nur durch bruteforce geht. so ein abgefahrenes randompasswort mit sonderzeichen und so allem drum und dran ist somit nicht "knackbar". das "zurückrechnen" ist auch unsinn.

                            eigentlich muss man überlegen, dass wenn die site insgesamt, aber auch der server sicher genug aufgebaut sind, keiner an die hashes drankommen wird. deswegen ist die diskussion md5 vs sha1 in dem zusammenhang sinnfrei.

                            auf die cookies sollte man auch verzichten, imho, weil clientseitig und somit unsicher. außerdem nicht von allen akzeptiert ergo beitrag zur unflexibilität.

                            zum thema sicherheit allgemein: da es also nur möglich ist, den rechner des admins über sessions zu identifizieren, kann ich empfehlen, weitere benutzerdaten zwischen zwei zugriffen zu vergleichen. also, praktisch solche sachen wie die ip und useragent oder so ein kram, den man eben so ermitteln kann.

                            des weiteren kann ein timeout sinnvoll sein.

                            Kommentar


                            • #15
                              He super Ausführung, genau sowas wollte ich wissen.- Danke

                              Aber noch kurz zum Thema Cookie:

                              Wenn ich dieses nur verwenden um ein Login aufrecht zu erhalten über z.Bsp.24h, wenn ich im Cookie lediglich einen User-ID reinschreibe welche via MySQL indentifiziert wird, dann ist es kein Risikoaspekt oder?

                              Mit Sessions habe ich das Problem, das die Session nicht mehr aktiv ist in einem neuen Browserfenster.

                              Kommentar

                              Lädt...
                              X